SecuriDropper モバイル マルウェアが検出を回避
サイバーセキュリティの専門家は、Google の最新のセキュリティ制限を回避してマルウェアを配信する、SecuriDropper として知られる新しい Android ドロッパー サービスを発表しました。
Android 用の Dropper マルウェアは、侵害されたデバイスに悪意のあるペイロードをインストールするための経路として機能するように設計されており、サイバー犯罪者にとっては、自分たちの能力を他の犯罪グループに示すことができる収益性の高いモデルとなっています。このアプローチにより、攻撃者は攻撃の開発と実行を実際のマルウェアのインストール プロセスから分離することもできます。
オランダのサイバーセキュリティ企業 ThreatFabric のレポートによると、ドロッパーとその責任者は、進化するセキュリティ対策を上回るために常に進化しています。 Google は、制限付き設定と呼ばれる Android 13 のセキュリティ機能を導入しました。これは、バンキング型トロイの木馬によって悪用されることが多い、サイドロードされたアプリケーションがアクセシビリティと通知リスナーのアクセス許可を取得するのを防ぐことを目的としています。
SecuriDroppers の動作モード
SecuriDropper は、ドロッパーを無害なアプリとして偽装することで、検出されることなくこの保護バリアをバイパスしようとします。実際に観察されているサンプルの中には、Google や Google Chrome の「com.appd.instll.load」などのアプリ名が含まれているものもあります。
ThreatFabric は、SecuriDropper の特徴はインストール プロセスに対する技術的アプローチであることを強調しました。前任者とは異なり、このファミリーは別の Android API を使用して新しいペイロードをインストールし、アプリ マーケットプレイスで新しいアプリケーションをインストールするプロセスを模倣します。
具体的には、外部ストレージへのデータの読み取りおよび書き込み権限 (READ_EXTERNAL_STORAGE および WRITE_EXTERNAL_STORAGE) と、パッケージのインストールおよび削除機能 (REQUEST_INSTALL_PACKAGES および DELETE_PACKAGES) の要求が含まれます。
第 2 段階では、おそらくインストール エラーを解決するために、被害者にアプリの「再インストール」ボタンをクリックするよう促すことで、悪意のあるペイロードのインストールが促進されます。